Một chiến dịch phishing WordPress lừa đảo đang tích cực nhắm mục tiêu vào các quản trị viên, sử dụng các thông báo gia hạn tên miền giả mạo tinh vi để đánh cắp thông tin thẻ tín dụng và mã xác thực hai yếu tố (2FA). Đây là một mối đe dọa mạng nghiêm trọng dẫn đến rò rỉ dữ liệu nhạy cảm của người dùng.
Các email này giả mạo là lời nhắc gia hạn hợp lệ từ WordPress.com, chuyển hướng nạn nhân đến một cổng thanh toán giả mạo. Tại đó, dữ liệu tài chính nhạy cảm bị thu hoạch ngay lập tức và gửi đến những kẻ tấn công thông qua các kênh nhắn tin Telegram.
Phân Tích Chiến Dịch Phishing
Chiến dịch phishing WordPress này bắt đầu bằng một email lừa đảo được soạn thảo kỹ lưỡng, có tiêu đề “Renewal due soon – Action required.”
Thông điệp sử dụng các chiến thuật dựa trên yếu tố khẩn cấp để gây áp lực buộc người nhận phải hành động ngay lập tức, cảnh báo về khả năng gián đoạn dịch vụ mà không chỉ định tên miền cụ thể.
Cách tiếp cận chung chung này cho phép chiến dịch mở rộng phạm vi tấn công trên nhiều tổ chức khác nhau. Email duy trì vẻ ngoài chuyên nghiệp, bóng bẩy, được thiết kế để vượt qua các bộ lọc thư rác và xuất hiện đáng tin cậy đối với những người nhận có thể không kiểm tra kỹ chi tiết người gửi.
Một nhà phân tích bảo mật độc lập, Anurag Gawande, đã xác định chiến dịch mã độc này sau khi phân tích hạ tầng phishing. Ông đã công bố chi tiết phân tích trên blog của mình: Phân tích của Anurag Gawande.
Qua điều tra, Gawande đã phát hiện ra một cuộc tấn công mạng đa giai đoạn phức tạp được thiết kế để trích xuất giá trị tối đa từ mỗi tài khoản bị xâm phạm.
Quy Trình Lừa Đảo Đa Giai Đoạn
Redirect đến Cổng Thanh Toán Giả Mạo
Nạn nhân nhấp vào liên kết trong email sẽ được chuyển hướng đến một trang thanh toán WordPress giả mạo, được lưu trữ trên hạ tầng của kẻ tấn công tại soybif[.]com/log/log/.
Trang này hiển thị một bản sao đáng tin cậy của giao diện thanh toán WordPress hợp pháp, hoàn chỉnh với các chi tiết giá cả chính xác, tính toán thuế VAT và logo phương thức thanh toán có thương hiệu.
Thu Thập Thông Tin Thẻ Tín Dụng
Cổng phishing này thu thập thông tin chủ thẻ thông qua một form JavaScript, thu giữ tên chủ thẻ, số thẻ, ngày hết hạn và mã CVV.
Sau khi gửi, dữ liệu nhạy cảm này sẽ được gửi qua yêu cầu POST tới một script backend có tên send_payment.php. Script này ngay lập tức chuyển tiếp thông tin đăng nhập bị đánh cắp đến các bot Telegram do kẻ tấn công kiểm soát.
Khai Thác Xác Thực Hai Yếu Tố (2FA)
Sự lừa dối trở nên sâu sắc hơn thông qua giai đoạn thứ hai nhắm mục tiêu vào xác thực hai yếu tố. Sau khi gửi thông tin thẻ, nạn nhân sẽ gặp một cửa sổ xác minh 3D Secure giả mạo hiển thị chi tiết người bán, tham chiếu giao dịch và số tiền.
Người dùng được nhắc nhập mã OTP qua SMS. Tuy nhiên, quá trình xác minh cố tình trả về thông báo “Verification failed” bất kể OTP có đúng hay không.
Điều này buộc nạn nhân phải thử lại nhiều lần, cho phép kẻ tấn công thu thập nhiều mã OTP hợp lệ được gửi đến thiết bị di động của nạn nhân.
Các mã này được chuyển tiếp ngay lập tức đến các kênh Telegram thông qua một điểm cuối riêng biệt: send_sms.php. Đây là một bước quan trọng trong chiến dịch phishing WordPress này.
Kỹ Thuật Lừa Đảo Nâng Cao
Cơ Chế Tâm Lý Thúc Đẩy Niềm Tin
Chiến dịch phishing WordPress này sử dụng các cơ chế tâm lý để xây dựng niềm tin, bao gồm các độ trễ tải nhân tạo.
Cụ thể, có một độ trễ bảy giây sau khi gửi thanh toán và độ trễ xử lý xác minh bốn giây. Mục đích là để thuyết phục nạn nhân rằng họ đang tương tác với hạ tầng ngân hàng hợp pháp.
Những độ trễ có chủ ý này làm giảm sự nghi ngờ của người dùng và tăng khả năng tuân thủ theo yêu cầu của kẻ tấn công.
Tận Dụng Telegram cho C2 và Xuất Dữ Liệu
Kẻ tấn công khéo léo tránh hạ tầng Command-and-Control (C2) truyền thống bằng cách tận dụng Telegram làm kênh xuất dữ liệu chính của chúng. Cách tiếp cận này mang lại một số lợi thế đáng kể.
- Chi phí hạ tầng tối thiểu: Giảm chi phí vận hành cho kẻ tấn công.
- Mã hóa tích hợp: Bảo vệ dữ liệu trong quá trình truyền tải.
- Khó bị gián đoạn: Các kênh Telegram khó bị chặn hoặc xóa hơn so với các máy chủ C2 thông thường.
- Khả năng phát hiện thấp hơn: Giảm khả năng bị phát hiện so với các bảng điều khiển được lưu trữ thông thường.
Việc sử dụng Telegram là một ví dụ điển hình về việc các tác nhân đe dọa liên tục tìm cách đổi mới để tránh bị phát hiện trong các chiến dịch phishing WordPress.
Chỉ Định Danh Kẻ Tấn Công (IOCs)
Phân tích tiêu đề email cho thấy chiến dịch phishing WordPress này có nguồn gốc từ theyounginevitables[.]com, được chuyển tiếp qua hạ tầng SMTP của Alibaba Cloud.
Chính sách DMARC yếu của miền gốc không cung cấp khả năng bảo vệ chống lại việc giả mạo địa chỉ gửi, tạo điều kiện cho các email lừa đảo dễ dàng tiếp cận hộp thư đến của nạn nhân.
Các chỉ định danh (IOCs) liên quan đến mối đe dọa mạng này bao gồm:
- Miền Phishing:
soybif[.]com - Miền Gốc Email:
theyounginevitables[.]com
Biện Pháp Phòng Ngừa và Khuyến Nghị An Ninh Mạng
Để bảo vệ khỏi chiến dịch phishing WordPress này và các cuộc tấn công tương tự, các tổ chức cần thực hiện các biện pháp phòng ngừa chặt chẽ.
Quản trị viên nên được giáo dục để không bao giờ nhấp vào các liên kết gia hạn tên miền trong email.
Thay vào đó, tất cả các thông báo gia hạn phải được xác minh trực tiếp thông qua các bảng điều khiển WordPress chính thức hoặc liên hệ trực tiếp với nhà cung cấp dịch vụ thông qua các kênh đã biết.
Việc triển khai các chính sách DMARC, SPF và DKIM mạnh mẽ cho miền của tổ chức có thể giúp giảm thiểu rủi ro giả mạo email.
Người dùng cũng nên luôn kiểm tra URL của trang web trước khi nhập bất kỳ thông tin nhạy cảm nào, đặc biệt là thông tin tài chính hoặc thông tin xác thực 2FA. Cẩn trọng là chìa khóa để duy trì bảo mật thông tin cá nhân và tổ chức.
